La banda emergente de ransomware Black Basta ha logrado atacar a cerca de 50 organizaciones en países anglófonos desde que comenzó a operar hace unos meses, y parece aspirar a niveles de infamia como los de Conti o REvil, según nueva inteligencia publicada hoy por Cibertemporada.
Ahora considerada como una de las amenazas de ransomware de doble extorsión operadas por humanos más destacadas con un alto potencial destructivo, la pieza principal del grupo es una variante de Linux que se dirige a las máquinas virtuales (VM) VMware ESXi que se ejecutan en servidores empresariales Linux. Esto se alinea con su objetivo empresarial y le permite aprovechar el cifrado más rápido de múltiples servidores con un solo comando.
El grupo de habla rusa también parece haberse asociado recientemente con la operación de malware/troyano bancario QBot para difundir su ransomware.
El uso de QBot ahorra tiempo a los operadores de ransomware, ya que contiene capacidades que les resultan útiles, como la capacidad de realizar la recopilación de credenciales y datos, realizar movimientos laterales y descargar y ejecutar cargas útiles.
Como tal, esta táctica ha sido utilizada muchas veces antes por grandes jugadores, incluidos Conti, DoppelPaymer, Egregor y otros, y ha generado especulaciones de que Black Basta es más que una simple operación de imitación, más bien una especie de grupo sucesor. Esta es una teoría que el CEO y cofundador de Cybereason, Lior Div, dijo que puede tener alguna base en la realidad.
“Dado que Black Basta es relativamente nuevo, no se sabe mucho sobre el grupo”, dijo Div. “Debido a su rápida ascensión y la precisión de sus ataques, es probable que Black Basta sea operado por ex miembros de las desaparecidas pandillas Conti y REvil, las dos pandillas de ransomware más rentables en 2021”.
Después de una serie de pasos en falso, Conti pareció cerrarse por sí solo en mayo, y sus operativos probablemente pasaron a diferentes ransomwares vinculados, incluidos BlackByte, Karakurt, Alphv/BlackCat, AvosLocker, HelloKitty/FiveHands y Hive. Sin embargo, supuestamente ha negado cualquier vínculo con Black Basta.
“Está bastante claro que la pandilla Black Basta sabe lo que está haciendo y quiere jugar en la ‘gran liga’ del ransomware, la misma liga que Conti, Ryuk, REvil, BlackMatter y otros”, dijo el investigador principal de amenazas de Cybereason. y el cazador de amenazas Lior Rochberger, autor principal del informe.
“Esta puede ser quizás la razón detrás de la especulación de que se trata de un cambio de marca de otro ransomware”, agregó. “Aunque puede ser cierto, pero aún no probado, también es razonable creer que se inspiraron en los grupos de ransomware ‘exitosos’, específicamente Conti, e intentar seguir su camino.
“Diferentes investigadores También mencionó que hay muchas similitudes entre los dos, incluida la apariencia del sitio Tor filtrado, la nota de rescate, el sitio de pago y el comportamiento del equipo de soporte.
Más información sobre Black Basta, incluidos los indicadores de compromiso (IoC), está disponible ahora en Cybereason.
